'O estrago está feito', diz diretor de empresa que detectou vazamentos de dados

CNN Brasil Business conversou com Emilio Simoni, diretor do laboratório de segurança da Psafe, empresa que primeiro identificou os vazamentos

Raphael Coraccini, colaboração para o CNN Brasil Business
20 de fevereiro de 2021 às 05:00
Emilio Simoni, da Psafe
Foto: Divulgação

Menos de um mês depois da divulgação do maior vazamento de dados da história do país, que atingiu 223 milhões brasileiros vivos e mortos, mais um caso veio à tona --desta vez, com dados telefônicos de mais de 100 milhões de pessoas

As informações vazadas em janeiro e fevereiro podem compor a maior base de dados de brasileiros já existente, e ela não pertence a nenhuma instituição legal, mas a uma pessoa ou –o que é mais provável– a um grupo de criminosos, que tem usado isso para ganhar dinheiro na deep web

O CNN Brasil Business conversou com Emilio Simoni, diretor do laboratório de segurança da Psafe, empresa que primeiro identificou os vazamentos. Segundo ele, uma vez vazados, os dados não podem ser colocados novamente em sigilo e, por isso, "o estrago está feito". Leia a entrevista abaixo.

CNN Brasil Business - Como a Psafe identificou o vazamento dos dados de 223 milhões de brasileiros?

Emilio Simoni - No final de 2019, a gente percebeu, com a LGPD [Lei Geral de Proteção de Dados] prestes a entrar em vigor, que muitas empresas estariam descobertas. A gente desenvolveu um sistema corporativo para pequenas e médias empresas. 

Um dos serviços é o monitor de dados vazados. Aí começamos a monitorar fóruns na internet, redes sociais e locais na deep web. E foi esse sistema que identificou o vazamento e gerou um alerta, que fomos verificar manualmente.

A primeira postagem [relacionada ao megavazamento] foi no dia 11 de janeiro. A gente fez a validação e, depois de todas as análises, o primeiro anúncio da Psafe foi feito no dia 18.

Já temos uma ideia exata de quais dados foram vazados? 

Já sabemos. O criminoso vazou primeiro milhões de CPFs, nome, data de nascimento e sexo. Depois, em uma outra base, 40 milhões de dados, como CNPJs, nome de empresas e endereços. E, ainda, uma terceira base de dados de veículos, como chassi e placa.

Isso para poder provar que ele tinha uma quarta base, mais completa, com salário, foto de rosto, telefone, e-mail, PIS, renda bruta, relação familiar e score de crédito de todos os brasileiros. Esta última base ele está vendendo.

Nesta base, não tinha o registro de 223 milhões de pessoas, mas, ainda assim, é uma base significativa de dados. Só que dessa mais completa ele só liberou, gratuitamente, uma amostragem. O restante está à venda. 

A descoberta da origem do vazamento poderia ajudar, de alguma forma, a proteger os brasileiros?

"Depois que cai na internet [os dados], o estrago está feito. Não tem muito como remediar. A identificação de como aconteceu o vazamento e de quem vazou seria o ideal para que a empresa ou as empresas descobrissem o modus operandi do criminoso, como ele se apoderou dos dados. E, caso a falha ainda exista, resolver. Pode servir para se precaver e evitar que novos ataques sejam bem-sucedidos."

 

Pode ter acontecido de vários bancos de dados terem sido vazados neste caso dos 223 milhões ou os dados são de um único lugar?

O cibercriminoso alega que [o banco de dados] é do Serasa Experian, mas essa é uma informação que a gente tem que tomar muito cuidado. O cibercriminoso quer vender e ganhar dinheiro, e ele fala muitas coisas e, na maioria das vezes, acaba mentindo. O que a gente pode falar é que a base é realmente gigantesca. É assustador o número de detalhes que ela tem.

Há indícios de que pode realmente ter relação com o Serasa, mas não temos como saber se esses indícios foram plantados pelo criminoso, porque ele pode muito bem ter colocado uma coluna com o nome Mosaic [banco de dados que pertence ao Serasa] para que os potenciais compradores olhem e atribuam credibilidade à base. Mas não tem como confirmar se o criminoso injetou aquilo de maneira falsa ou se é realmente verdadeiro.

Como vocês sabem que os dados são verdadeiros? 

A gente sabe porque tem informações que é possível validar, como endereço, telefone, PIS, INSS, que a gente sabe que esses dados são reais. Mas tem dados que não dá para averiguar, porque a empresa que é detentora desses dados não deixa eles abertos para consulta.

Pode ter acontecido de, junto com esses dados verdadeiros, o criminoso ter incluído dados falsos? 

Pode acontecer. Tem a hipótese que estamos verificando de que outros cibercriminosos estejam enriquecendo a base, pegando dados de várias fontes, juntando numa super base, e cada um vende com um nome diferente. Uns falam que é do governo, outros, de empresas privadas, outros, que é de operadoras. Mas ainda não dá para saber de onde é realmente. O que dá para saber é que as bases estão ficando gigantescas e cada vez mais detalhadas.

Como acontece esse enriquecimento da base?

Eles jogam os dados naquele CPF, que, com o tempo, passa a ser uma base primária, com centenas de informações relacionadas a ele. Muitas vezes, essa base é mais completa que as de grandes empresas ou do governo, já que o criminoso pode invadir várias bases diferentes e não precisa se preocupar com legislação nem nada na hora de guardar todo tipo de informação relacionada a um único CPF.

Falando agora dos impactos do vazamento. Quais os riscos?

"Considerando os dados completos, os riscos são extremamente graves. Eles podem ser usados para se passar por você, para assinar serviços online no seu nome, abrir conta digital, pegar empréstimo. O criminoso pode aplicar um golpe se passando por uma empresa, porque ele conhece o seu relacionamento com ela, conhece os seus dados. Então, ele te liga e pode se passar por qualquer empresa."

 

O que as pessoas podem fazer para evitar esses riscos? Trocar senhas e logins pode ser uma saída?

Tudo que envolve credenciais, é aconselhável mudar. Mas não dá para mudar o endereço ou CPF. Por isso, a maior questão é ficar muito atento. Qualquer pessoa que entre em contato, deve-se desconfiar. Quase não tem como acreditar se é uma pessoa idônea ou não.

Qualquer pessoa que te contatar, falando que é de uma determinada empresa, tem que desconfiar, não passar nenhum dado e responder que vai retornar o contato para a empresa.

Nós temos exemplo de vazamento parecido no mundo ou o caso brasileiro é singular?

É singular em tamanho de vazamento por conta das informações associadas. Nesse caso, não ficou nenhum CPF de fora. São dados de 2008 a 2019.

O que as empresas podem fazer de agora em diante para evitar que esses vazamentos persistam? 

Não basta a empresa baixar um antivírus, que geralmente é de alguma empresa estrangeira que não conheça as particularidades do Brasil. Isso não é nada efetivo, e elas acham que é suficiente. Hoje em dia, o antivírus não dá mais conta. E, com o home office, tem ataques a roteadores domésticos, o funcionário está fora da empresa. Então, tem que ficar mais atento, ter uma política de segurança mais abrangente.